Fuga de dados expõe um dos grupos de ransomware mais ativos e revela os bastidores dos ataques
De acordo com a Check Point Research, a violação de dados do coletivo The Gentlemen oferece uma visão ímpar sobre o funcionamento de uma operação de ransomware contemporânea.
O grupo The Gentlemen apareceu no cenário cybercriminoso em meados de 2025, rapidamente se consolidando como uma operação de ransomware como serviço (RaaS) muito eficiente. No entanto, no início de maio, o responsável pelo The Gentlemen admitiu em fóruns clandestinos que a base de dados do grupo havia sido comprometida.
Mantenha-se atualizado com as principais notícias de tecnologia eacompanhe tudo em tek.sapo.pt
Segundo as informações divulgadas no site de vazamento de dados, o grupo The Gentlemen é uma das operações RaaS mais ativas, com mais de 400 vítimas públicas identificadas, conforme revelam os dados da Check Point Research.
O modelo de atuação do grupo baseia-se numa divisão de lucros de 90% para os afiliados e 10% para o operador, com o intuito de atrair atacantes experientes de outros ambientes criminosos.
As informações reveladas sobre o The Gentlemen incluem interações internas, dados operacionais, discussões sobre vítimas, ferramentas, credenciais, pagamentos e evidências de como o grupo organiza ataques de ransomware em larga escala, destacam os especialistas.
A análise dos dados vazados demonstrou que o grupo opera de maneira estruturada, com cerca de nove operadores identificados, e é centralizado em um administrador conhecido como “zeta88”, que também utiliza o nome “hastalamuerte”.
O administrador desempenha um papel crucial na operação do grupo. Além de gerenciar a infraestrutura, desenvolver o software de criptografia utilizado nos ataques e manter o painel RaaS, ele também é responsável pela administração de pagamentos e pela distribuição de vítimas entre as equipes, participando ativamente nas ofensivas.
Os pesquisadores detalham como o grupo tem integrado inteligência artificial no desenvolvimento e suporte de suas operações. Por exemplo, as conversas analisadas mostraram que o administrador afirmou ter criado o painel de gestão da operação em apenas três dias com o auxílio de programação assistida por inteligência artificial.
Os atacantes também mencionam modelos como DeepSeek, Qwen e Kimi como ferramentas valiosas para suporte técnico e desenvolvimento. Os especialistas apontam que o uso de inteligência artificial é especialmente relevante em tarefas de programação, consultas técnicas rápidas e apoio à análise operacional.
A análise indica que o grupo costuma entrar nas organizações por meio de infraestruturas abertas na Internet. Dentre os métodos observados estão a exploração de vulnerabilidades conhecidas, ataques de força bruta em painéis web e VPNs, aquisição de acessos de terceiros e o uso de credenciais roubadas de mercados de infostealers.
Ataques de ransomware alcançaram novos recordes em 2025. As organizações enfrentam crescente pressão
Os incidentes de ransomware atingiram números recordes em 2025, com a NCC Group reportando quase 8.000 casos no último…
Uma vez que os atacantes conseguem acessar os sistemas, sua progressão é rápida. Os especialistas destacam que a periculosidade do grupo reside na maneira como eles combinam ferramentas conhecidas, vulnerabilidades recentes, processos colaborativos e um modelo de filiação competitivo para transformar ataques complexos em uma operação sistemática.
A violação de dados também revelou informações sobre negociações e pagamentos. A Check Point Research identificou imagens de negociações de resgate, incluindo um caso onde o grupo recebeu 190.000 dólares após uma exigência inicial de 250.000 dólares.
Em um comunicado, Eli Smadja, gerente de grupo da empresa de cibersegurança, enfatiza que “obter este nível de visibilidade sobre uma operação ativa de ransomware é raro”.
“O que observamos aqui não são atores isolados ou improvisados, mas profissionais com funções definidas, processos, expectativas de desempenho e um modelo de receita bem estruturado,” acrescenta, ressaltando que “toda a operação exerce uma mentalidade de startup criminosa”.
“As organizações devem encarar o ransomware como um crime organizado altamente profissionalizado,” reafirma o responsável.
